Microsoft Windows Defender ATP ログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Azure Storage アカウントを使用して Microsoft Windows Defender ATP ログを Google Security Operations に収集する方法について説明します。このパーサーは、SYSLOG、XML、JSON 形式の Windows Defender ATP のログを処理します。これらの形式のさまざまなフィールドを統一された構造に正規化し、イベントの詳細、ユーザーデータ、プロセス情報、ネットワーク アクティビティ、セキュリティ結果などの重要な情報を抽出し、UDM にマッピングします。また、パーサーは EventID と ActionType に基づいて条件付きロジックを実行し、イベントを分類して、各イベントタイプに関連する特定の詳細情報で UDM を拡充します。
始める前に
- Google SecOps インスタンスがあることを確認します。
- 有効な Azure サブスクリプションがあることを確認します。
- グローバル管理者または Microsoft Defender Advanced Threat Hunting のロールがあることを確認します。
- Azure テナントにログインし、[サブスクリプション] > [サブスクリプション] > [リソース プロバイダー] > [Microsoft.Insights に登録] に移動します。
Azure ストレージ アカウントを構成する
- Azure コンソールで、[ストレージ アカウント] を検索します。
- [作成] をクリックします。
- 次の入力パラメータの値を指定します。
- Subscription: サブスクリプションを選択します。
- リソース グループ: リソース グループを選択します。
- リージョン: リージョンを選択します。
- パフォーマンス: パフォーマンスを選択します(標準が推奨されます)。
- 冗長性: 冗長性(GRS または LRS を推奨)を選択します。
- ストレージ アカウント名: 新しいストレージ アカウントの名前を入力します。
- [Review + create] をクリックします。
- アカウントの概要を確認して、[作成] をクリックします。
- [ストレージ アカウントの概要] ページで、[セキュリティとネットワーキング] のサブメニュー [アクセスキー] を選択します。
- [key1] または [key2] の横にある [Show] をクリックします。
- [クリップボードにコピー] をクリックして、キーをコピーします。
- キーは後で使用できるように安全な場所に保存します。
- [ストレージ アカウントの概要] ページで、[設定] のサブメニュー [エンドポイント] を選択します。
- [クリップボードにコピー] をクリックして、Blob サービス エンドポイント URL(例:
https://<storageaccountname>.blob.core.windows.net)をコピーします。 - エンドポイント URL は、後で使用できるように安全な場所に保存します。
Windows Defender Advanced Threat Hunting のログ エクスポートを構成する
- グローバル管理者またはセキュリティ管理者として security.microsoft.com にログインします。
- [設定> Microsoft Defender XDR] に移動します。
- [Streaming API] を選択します。
- [追加] をクリックします。
- [イベントを Azure Storage に転送する] を選択します。
- 以前に作成したストレージ アカウントに移動します。
- [リソース ID] をコピーして、[ストレージ アカウントのリソース ID] に入力します。
- [イベントタイプ] をすべて選択します。
- [保存] をクリックします。
Windows Defender Advanced Threat Hunting のログを取り込むように Google SecOps でフィードを構成する
- [SIEM 設定] > [フィード] に移動します。
- [新しく追加] をクリックします。
- [フィード名] フィールドに、フィードの名前(例:
Defender ATP Logs)を入力します。 - [ソースタイプ] で [Microsoft Azure Blob Storage] を選択します。
- [ログタイプ] として [Windows Defender ATP] を選択します。
- [次へ] をクリックします。
次の入力パラメータの値を指定します。
- Azure URI: BLOB エンドポイント URL。
ENDPOINT_URL/BLOB_NAME- 次のように置き換えます。
ENDPOINT_URL: BLOB エンドポイント URL(https://<storageaccountname>.blob.core.windows.net)。BLOB_NAME: blob の名前(<logname>-logsなど)。
- URI is a: ログストリームの構成([単一ファイル] | [ディレクトリ] | [サブディレクトリを含むディレクトリ])に応じて URI_TYPE を選択します。
Source deletion options: 必要に応じて削除オプションを選択します。
共有キー: Azure Blob Storage へのアクセスキー。
Asset namespace: アセットの名前空間。
Ingestion labels: このフィードのイベントに適用されるラベル。
- Azure URI: BLOB エンドポイント URL。
[次へ] をクリックします。
[Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
AccountName |
target.user.userid |
properties.AccountName が存在し、properties.InitiatingProcessAccountName が空白の場合に入力されます。 |
AccountSid |
target.user.windows_sid |
properties.AccountSid が存在する場合に入力されます。 |
AccountType |
principal.user.attribute.labels |
キー: AccountType、値: properties.AccountType |
Action |
security_result.action_details |
properties.Action の値。 |
Action |
security_result.action |
properties.Action に quarantine が含まれている場合、値は QUARANTINE です。 |
Action Name |
security_result.description |
EventID が 1117 の場合、security_result.description の一部。 |
AdditionalFields |
about.labels、principal.resource.attribute.labels |
キー: AdditionalFields、値: properties.AdditionalFields(JSON として解析された場合は AdditionalFields)。properties.AdditionalFields(JSON として解析された場合は AdditionalFields2)の個々の Key-Value ペアもラベルとして追加されます。 |
AdditionalFields.ClientMachine |
principal.resource.attribute.labels |
キー: ClientMachine、値: _AdditionalFields.ClientMachine |
AdditionalFields.Command |
target.process.command_line |
ActionType が PowerShellCommand の場合に使用されます。 |
AdditionalFields.Count |
read_only_udm.additional.fields |
キー: Count、値: properties.AdditionalFields.Count |
AdditionalFields.DesiredAccess |
principal.resource.attribute.labels |
キー: DesiredAccess、値: _AdditionalFields.DesiredAccess |
AdditionalFields.DnsQueryString |
network.dns.questions.name |
ActionType が DnsQueryResponse の場合に使用されます。 |
AdditionalFields.DnsQueryResult |
network.dns.answers |
ループ内で解析され、DNS 応答が抽出されます。Result は name になり、DnsQueryType は数値の type にマッピングされます。 |
AdditionalFields.Experience |
security_result.threat_name |
properties.ActionType に SmartScreen が含まれている場合に使用されます。 |
AdditionalFields.FileOperation |
principal.resource.attribute.labels |
キー: FileOperation、値: _AdditionalFields.FileOperation |
AdditionalFields.InitiatingProcess |
principal.resource.attribute.labels |
キー: InitiatingProcess、値: _AdditionalFields.InitiatingProcess |
AdditionalFields.IsAudit |
principal.resource.attribute.labels |
キー: IsAudit、値: _AdditionalFields.IsAudit |
AdditionalFields.IsLocalLogon |
extensions.auth.mechanism |
値が true の場合、auth_mechanism を LOCAL に設定します。false の場合は、REMOTE に設定します。 |
AdditionalFields.IsRemoteMachine |
principal.resource.attribute.labels |
キー: IsRemoteMachine、値: _AdditionalFields.IsRemoteMachine |
AdditionalFields.NamedPipeEnd |
principal.resource.attribute.labels |
キー: NamedPipeEnd、値: _AdditionalFields.NamedPipeEnd |
AdditionalFields.PipeName |
principal.resource.attribute.labels |
キー: PipeName、値: _AdditionalFields.PipeName |
AdditionalFields.RemoteClientsAccess |
principal.resource.attribute.labels |
キー: RemoteClientsAccess、値: _AdditionalFields.RemoteClientsAccess |
AdditionalFields.SessionId |
principal.resource.attribute.labels |
キー: SessionId、値: _AdditionalFields.SessionId |
AdditionalFields.SignatureName |
security_result.rule_id |
properties.ActionType が AntivirusDetection の場合に使用されます。 |
AdditionalFields.TaskName |
target.resource.name |
properties.ActionType に Scheduled が含まれている場合に使用されます。 |
AdditionalFields.ThreatName |
security_result.threat_name |
properties.ActionType が AntivirusDetection の場合に使用されます。 |
AdditionalFields.ThreadId |
principal.resource.attribute.labels |
キー: ThreadId、値: _AdditionalFields.ThreadId |
AdditionalFields.TokenModificationProperties |
principal.resource.attribute.labels |
キー: TokenModificationProperties、値: _AdditionalFields.TokenModificationProperties |
AdditionalFields.TotalBytesCopied |
principal.resource.attribute.labels |
キー: TotalBytesCopied、値: _AdditionalFields.TotalBytesCopied |
AdditionalFields.WasExecutingWhileDetected |
about.labels、principal.resource.attribute.labels |
キー: WasExecutingWhileDetected、値: _AdditionalFields.WasExecutingWhileDetected |
AdditionalFields.WasRemediated |
security_result.action |
値が true の場合、sr_action を BLOCK に設定します。false の場合は、ALLOW に設定します。 |
AppGuardContainerId ApplicationId |
read_only_udm.additional.fields |
キー: ApplicationId、値: properties.ApplicationId |
category |
metadata.product_name |
category の値。 |
category |
metadata.product_event_type |
AdvancedHunting- が削除された category の値。 |
City |
principal.location.city |
properties.City の値。 |
ClientIP |
principal.ip、principal.asset.ip |
properties.RawEventData.ClientIP の値(有効な IP アドレスの場合)。 |
ClientIPAddress |
principal.ip、principal.asset.ip |
properties.RawEventData.ClientIPAddress の値(有効な IP アドレスの場合)。 |
ClientInfoString |
read_only_udm.additional.fields |
キー: ClientInfoString、値: properties.RawEventData.ClientInfoString |
ClientProcessName |
read_only_udm.additional.fields |
キー: ClientProcessName、値: properties.RawEventData.ClientProcessName |
ClientRequestId |
read_only_udm.additional.fields |
キー: ClientRequestId、値: properties.RawEventData.ClientRequestId |
ClientVersion |
read_only_udm.additional.fields |
キー: ClientVersion、値: properties.RawEventData.ClientVersion |
ConnectedNetworks |
entity.asset.network_domain |
ConnectedNetworks 内の Name フィールド(存在する場合)。 |
CountryCode |
principal.location.country_or_region |
properties.CountryCode の値。 |
CreationTime |
read_only_udm.additional.fields |
キー: CreationTime、値: properties.RawEventData.CreationTime |
Current Engine Version |
security_result.description |
EventID が 2000 の場合、security_result.description の一部。 |
Current Signature Version |
security_result.description |
EventID が 2000 の場合、security_result.description の一部。 |
DeliveryAction |
read_only_udm.additional.fields |
キー: DeliveryAction、値: properties.DeliveryAction |
DeliveryAction |
security_result.action |
properties.DeliveryAction に Blocked が含まれている場合、値は BLOCK です。 |
DeliveryLocation |
read_only_udm.additional.fields |
キー: DeliveryLocation、値: properties.DeliveryLocation |
DestinationLocationType |
read_only_udm.additional.fields |
キー: DestinationLocationType、値: properties.RawEventData.DestinationLocationType |
DetectionMethods |
security_result.rule_name、security_result.detection_fields |
引用符が削除された properties.DetectionMethods の値は、rule_name と detection_fields の両方になります(キー: Detection Method)。 |
Detection User |
principal.user.userid |
EventID が 1116 または 1117 の場合に使用されます。 |
DeviceCategory |
entity.asset.category |
properties.DeviceCategory の値。 |
DeviceId |
principal.asset_id |
syslog/JSON または XML の解析時に WINDOWS_DEFENDER: + DeviceId。JSON の解析時に DeviceId: + properties.DeviceId。 |
DeviceName |
principal.hostname、principal.asset.hostname |
syslog/JSON または XML を解析するときに DeviceName。JSON の解析時に properties.DeviceName。properties.RawEventData.DeviceName(存在する場合)。 |
DeviceType |
read_only_udm.additional.fields |
キー: DeviceType、値: properties.DeviceType |
Domain |
principal.administrative_domain |
syslog/JSON または XML の解析時に使用されます。 |
Dynamic Signature Compilation Timestamp |
security_result.description |
EventID が 2010 または 2011 の場合、security_result.description の一部。 |
Dynamic Signature Type |
security_result.description |
EventID が 2010 または 2011 の場合、security_result.description の一部。 |
Dynamic Signature Version |
security_result.description |
EventID が 2010 または 2011 の場合、security_result.description の一部。 |
EmailClusterId |
read_only_udm.additional.fields |
キー: EmailClusterId、値: properties.EmailClusterId |
EmailDirection |
network.direction |
値が Inbound の場合、INBOUND に設定します。Outbound の場合は、OUTBOUND に設定します。それ以外の場合は UNKNOWN_DIRECTION に設定します。 |
EmailLanguage |
read_only_udm.additional.fields |
キー: EmailLanguage、値: properties.EmailLanguage |
Engine Version |
security_result.description |
EventID が 1011 の場合、security_result.description の一部。 |
EnforcementMode |
read_only_udm.additional.fields |
キー: EnforcementMode、値: properties.EnforcementMode |
Error Code |
security_result.description |
EventID が 1117 または 2001 の場合、security_result.description の一部。 |
Error Description |
security_result.description |
EventID が 1117 または 2001 の場合、security_result.description の一部。 |
EventID |
metadata.product_event_type |
syslog/JSON または XML を解析する際の metadata.product_event_type の一部。 |
EventTime |
metadata.event_timestamp |
解析されて metadata.event_timestamp が生成されます。 |
ExchangeLocations |
security_result.category_details |
properties.RawEventData.ExchangeLocations の値。 |
ExternalAccess |
read_only_udm.additional.fields |
キー: ExternalAccess、値: properties.RawEventData.ExternalAccess |
FailureReason |
security_result.description |
ActionType が LogonFailed のときの properties.FailureReason の値。 |
FileExtension |
read_only_udm.additional.fields |
キー: FileExtension、値: properties.RawEventData.FileExtension |
FileName |
about.file.full_path |
category に EmailAttachmentInfo が含まれている場合の properties.FileName の値。それ以外の場合は target.process.file.full_path。 |
FileSize |
target.process.file.size |
properties.FileSize の値を符号なし整数に変換した値。 |
FileSize |
about.file.size |
category に EmailAttachmentInfo が含まれている場合、properties.FileSize の値は符号なし整数に変換されます。 |
FileSize |
principal.process.file.size |
properties.RawEventData.FileSize の値を符号なし整数に変換した値。 |
FileType |
about.file.mime_type |
category に EmailAttachmentInfo が含まれている場合の properties.FileType の値。それ以外の場合は target.process.file.mime_type。 |
FileType |
read_only_udm.additional.fields |
キー: FileType、値: 空でない場合は properties.RawEventData.FileType、空の場合は Unknown。 |
FolderPath |
target.file.full_path |
properties.FolderPath の値。 |
FolderPath |
target.process.file.full_path |
ActionType が CreateRemoteThreadApiCall、ExploitGuardNonMicrosoftSignedBlocked、DriverLoad、FileRenamed、OpenProcessApiCall、ReadProcessMemoryApiCall、ImageLoaded、properties.ActionType の場合、FolderPath の値は FileCreatedOnNetworkShare です。 |
Hidden |
read_only_udm.additional.fields |
キー: Hidden、値: properties.RawEventData.Hidden |
Hostname |
principal.hostname、principal.asset.hostname |
syslog/JSON または XML の解析時に使用されます。 |
IPAddresses |
entity.asset.ip |
IPAddresses 配列内の各オブジェクトの IPAddress フィールド(IPv6 リンクローカル、IPv4 APIPA、IPv6 ループバック、IPv6 マルチキャスト、ループバック アドレスを除く)。 |
IPAddress |
principal.ip、principal.asset.ip |
properties.IPAddress の値(有効な IP アドレスの場合)。 |
IPCategory |
read_only_udm.additional.fields |
キー: IPCategory、値: properties.IPCategory |
IPTags |
read_only_udm.additional.fields |
キー: IPTags、値: properties.IPTags |
ISP |
read_only_udm.additional.fields |
キー: ISP、値: properties.ISP |
InitiatingProcessAccountName |
principal.user.userid |
この要素が存在し、properties.AccountName が空白の場合、または両方が存在する場合に入力されます。 |
InitiatingProcessAccountSid |
principal.user.windows_sid |
この要素が存在し、properties.AccountSid が空白の場合、または両方が存在する場合に入力されます。 |
InitiatingProcessAccountUpn |
principal.user.email_addresses |
properties.InitiatingProcessAccountUpn の値。 |
InitiatingProcessCommandLine |
principal.process.command_line |
引用符が削除された properties.InitiatingProcessCommandLine の値。 |
InitiatingProcessFileName |
principal.process.file.full_path |
properties.InitiatingProcessFileName の値。 |
InitiatingProcessFileSize |
principal.process.file.size |
properties.InitiatingProcessFileSize の値を符号なし整数に変換した値。 |
InitiatingProcessFolderPath |
principal.process.file.full_path |
properties.InitiatingProcessFolderPath の値。 |
InitiatingProcessId |
principal.process.pid |
文字列に変換された properties.InitiatingProcessId の値。 |
InitiatingProcessIntegrityLevel |
about.labels、principal.resource.attribute.labels |
キー: InitiatingProcessIntegrityLevel、値: properties.InitiatingProcessIntegrityLevel |
InitiatingProcessMD5 |
principal.process.file.md5 |
properties.InitiatingProcessMD5 の値。 |
InitiatingProcessParentFileName |
principal.process.parent_process.file.full_path |
properties.InitiatingProcessParentFileName の値。 |
InitiatingProcessParentId |
principal.process.parent_process.pid |
文字列に変換された properties.InitiatingProcessParentId の値。 |
InitiatingProcessSHA1 |
principal.process.file.sha1 |
properties.InitiatingProcessSHA1 の値。 |
InitiatingProcessSHA256 |
principal.process.file.sha256 |
properties.InitiatingProcessSHA256 の値。 |
InitiatingProcessSignatureStatus |
read_only_udm.additional.fields |
キー: InitiatingProcessSignatureStatus、値: properties.InitiatingProcessSignatureStatus |
InitiatingProcessSignerType |
read_only_udm.additional.fields |
キー: InitiatingProcessSignerType、値: properties.InitiatingProcessSignerType |
InitiatingProcessTokenElevation |
about.labels、principal.resource.attribute.labels |
キー: InitiatingProcessTokenElevation、値: properties.InitiatingProcessTokenElevation |
InitiatingProcessVersionInfoCompanyName |
principal.user.company_name |
properties.InitiatingProcessVersionInfoCompanyName の値。 |
InitiatingProcessVersionInfoFileDescription |
principal.resource.attribute.labels |
キー: File Description、値: properties.InitiatingProcessVersionInfoFileDescription |
InitiatingProcessVersionInfoInternalFileName |
principal.resource.attribute.labels |
キー: File Name、値: properties.InitiatingProcessVersionInfoInternalFileName |
InitiatingProcessVersionInfoOriginalFileName |
principal.resource.attribute.labels |
キー: Original File Name、値: properties.InitiatingProcessVersionInfoOriginalFileName |
InitiatingProcessVersionInfoProductName |
read_only_udm.additional.fields |
キー: InitiatingProcessVersionInfoProductName、値: properties.InitiatingProcessVersionInfoProductName |
InitiatingProcessVersionInfoProductVersion |
metadata.product_version |
properties.InitiatingProcessVersionInfoProductVersion の値。 |
InternetMessageId |
read_only_udm.additional.fields |
キー: InternetMessageId、値: properties.InternetMessageId(山かっこは削除)。 |
IsAdminOperation |
read_only_udm.additional.fields |
キー: IsAdminOperation、値: properties.IsAdminOperation |
IsAnonymousProxy |
read_only_udm.additional.fields |
キー: IsAnonymousProxy、値: properties.IsAnonymousProxy |
IsExternalUser |
read_only_udm.additional.fields |
キー: IsExternalUser、値: properties.IsExternalUser |
IsImpersonated |
read_only_udm.additional.fields |
キー: IsImpersonated、値: properties.IsImpersonated |
IsLocalAdmin |
about.labels、principal.resource.attribute.labels |
キー: IsLocalAdmin、値: properties.IsLocalAdmin のブール値に応じて true または false。 |
LoggedOnUsers |
target.user.userid、entity.relations.entity.user.userid |
LoggedOnUsers 配列内の各オブジェクトの UserName フィールドは、target.user.userid と関連するユーザー エンティティとして追加されます。Sid フィールドは entity.relations.entity.user.windows_sid として追加されます。 |
LocalIP |
principal.ip、principal.asset.ip |
JSON の解析時の LocalIP の値。 |
LocalPort |
principal.port |
JSON の解析時に整数に変換された LocalPort の値。 |
LogonType |
extensions.auth.mechanism |
値に基づいて UDM 認証メカニズムにマッピングされます。 |
LogonType |
read_only_udm.additional.fields |
キー: LogonType、値: properties.RawEventData.LogonType |
LogonUserSid |
read_only_udm.additional.fields |
キー: LogonUserSid、値: properties.RawEventData.LogonUserSid |
MacAddress |
entity.asset.mac |
MacAddress または properties.MacAddress の値をコロン区切りの文字列としてフォーマットします。 |
MailboxGuid |
read_only_udm.additional.fields |
キー: MailboxGuid、値: properties.RawEventData.MailboxGuid |
MailboxOwnerMasterAccountSid |
read_only_udm.additional.fields |
キー: MailboxOwnerMasterAccountSid、値: properties.RawEventData.MailboxOwnerMasterAccountSid |
MailboxOwnerSid |
read_only_udm.additional.fields |
キー: MailboxOwnerSid、値: properties.RawEventData.MailboxOwnerSid |
MailboxOwnerUPN |
read_only_udm.additional.fields |
キー: MailboxOwnerUPN、値: properties.RawEventData.MailboxOwnerUPN |
MD5 |
target.process.file.md5 |
properties.MD5 の値。 |
Message |
security_result.description |
EventID が 1000、1001、1002、1013、1116、1117、2000、2001、2002、2010、2011、5007 の場合、security_result.description の一部。 |
NetworkAdapterType |
metadata.product_event_type |
JSON の解析時の NetworkAdapterType の値。 |
NetworkMessageId |
network.email.mail_id |
properties.NetworkMessageId の値。 |
New Value |
security_result.description |
EventID が 5007 の場合は security_result.description の一部。 |
Object Name |
read_only_udm.additional.fields |
キー: ObjectName、値: properties.ObjectName |
Object Type |
read_only_udm.additional.fields |
キー: ObjectType、値: properties.ObjectType |
ObjectId |
read_only_udm.additional.fields |
キー: ObjectId、値: properties.ObjectId または properties.RawEventData.ObjectId。 |
Old Value |
security_result.description |
EventID が 5007 の場合は security_result.description の一部。 |
Operation |
read_only_udm.additional.fields |
キー: Operation、値: properties.RawEventData.Operation |
operationName |
read_only_udm.additional.fields |
キー: OperationName、値: operationName |
OrganizationId |
read_only_udm.additional.fields |
キー: OrganizationId、値: properties.RawEventData.OrganizationId |
OrganizationName |
read_only_udm.additional.fields |
キー: OrganizationName、値: properties.RawEventData.OrganizationName |
OriginatingServer |
read_only_udm.additional.fields |
キー: OriginatingServer、値: properties.RawEventData.OriginatingServer |
OSPlatform |
asset.platform_software.platform |
値に macos が含まれている場合、platform を MAC に設定します。windows の場合は、WINDOWS に設定します。nix の場合は、LINUX に設定します。 |
OSVersion |
asset.platform_software.platform_version |
properties.OSVersion の値。 |
Path |
target.file.full_path |
EventID が 1011 または 1116 の場合に使用されます。 |
Persistence Limit Type |
security_result.description |
EventID が 2010 または 2011 の場合、security_result.description の一部。 |
Persistence Limit Value |
security_result.description |
EventID が 2010 または 2011 の場合、security_result.description の一部。 |
Persistence Path |
target.file.full_path |
EventID が 2010 または 2011 の場合に使用されます。 |
Previous Engine Version |
security_result.description |
EventID が 2000、2001、2002 の場合、security_result.description の一部。 |
PreviousRegistryKey |
target.registry.registry_key |
properties.PreviousRegistryKey の値。 |
PreviousRegistryValueData |
target.resource.attribute.labels |
キー: PreviousRegistryValueData、値: properties.PreviousRegistryValueData |
PreviousRegistryValueName |
target.resource.attribute.labels |
キー: PreviousRegistryValueName、値: properties.PreviousRegistryValueName |
Previous security intelligence Version |
security_result.description |
EventID が 2001 の場合、security_result.description の一部。 |
Previous Signature Version |
security_result.description |
EventID が 2000 の場合、security_result.description の一部。 |
ProcessCommandLine |
target.process.command_line |
properties.ProcessCommandLine の値。 |
ProcessID |
principal.process.pid |
syslog/JSON または XML の解析時に使用されます。 |
ProcessId |
target.process.pid |
文字列に変換された properties.ProcessId の値。 |
Process Name |
target.process.pid |
EventID が 1116 または 1117 の場合に使用されます。 |
Product Version |
metadata.product_version |
syslog/JSON または XML の解析時に使用されます。 |
Protocol |
network.ip_protocol |
値に Tcp が含まれている場合は、TCP に設定します。Udp の場合は、UDP に設定します。Icmp の場合は、ICMP に設定します。 |
ProviderGuid |
principal.resource.id |
syslog/JSON または XML の解析時に使用されます。 |
PublicIP |
principal.ip、principal.asset.ip |
properties.PublicIP の値。 |
RawEventData.Application |
principal.application |
properties.RawEventData.Application の値。 |
RawEventData.ClientIP |
principal.ip、principal.asset.ip |
properties.RawEventData.ClientIP の値(有効な IP アドレスの場合)。 |
RawEventData.ClientIPAddress |
principal.ip、principal.asset.ip |
properties.RawEventData.ClientIPAddress の値(有効な IP アドレスの場合)。 |
RawEventData.ClientInfoString |
read_only_udm.additional.fields |
キー: ClientInfoString、値: properties.RawEventData.ClientInfoString |
RawEventData.ClientProcessName |
read_only_udm.additional.fields |
キー: ClientProcessName、値: properties.RawEventData.ClientProcessName |
RawEventData.ClientRequestId |
read_only_udm.additional.fields |
キー: ClientRequestId、値: properties.RawEventData.ClientRequestId |
RawEventData.ClientVersion |
read_only_udm.additional.fields |
キー: ClientVersion、値: properties.RawEventData.ClientVersion |
RawEventData.CreationTime |
read_only_udm.additional.fields |
キー: CreationTime、値: properties.RawEventData.CreationTime |
RawEventData.DeviceName |
principal.hostname、principal.asset.hostname |
properties.RawEventData.DeviceName の値。 |
RawEventData.DestinationLocationType |
read_only_udm.additional.fields |
キー: DestinationLocationType、値: properties.RawEventData.DestinationLocationType |
RawEventData.ExchangeLocations |
security_result.category_details |
properties.RawEventData.ExchangeLocations の値。 |
RawEventData.ExternalAccess |
read_only_udm.additional.fields |
キー: ExternalAccess、値: properties.RawEventData.ExternalAccess |
RawEventData.FileExtension |
read_only_udm.additional.fields |
キー: FileExtension、値: properties.RawEventData.FileExtension |
RawEventData.FileSize |
target.process.file.size |
properties.RawEventData.FileSize の値を符号なし整数に変換した値。 |
RawEventData.FileType |
read_only_udm.additional.fields |
キー: FileType、値: 空でない場合は properties.RawEventData.FileType、空の場合は Unknown。 |
RawEventData.Hidden |
read_only_udm.additional.fields |
キー: Hidden、値: properties.RawEventData.Hidden |
RawEventData.Id |
read_only_udm.additional.fields |
キー: RawEventDataId、値: properties.RawEventData.Id |
RawEventData.Item.Id |
item_idm.read_only_udm.additional.fields |
キー: RawEventDataItemId、値: properties.RawEventData.item.id |
RawEventData.LogonType |
read_only_udm.additional.fields |
キー: LogonType、値: properties.RawEventData.LogonType |
RawEventData.LogonUserSid |
read_only_udm.additional.fields |
キー: LogonUserSid、値: properties.RawEventData.LogonUserSid |
RawEventData.MailboxGuid |
read_only_udm.additional.fields |
キー: MailboxGuid、値: properties.RawEventData.MailboxGuid |
RawEventData.MailboxOwnerMasterAccountSid |
read_only_udm.additional.fields |
キー: MailboxOwnerMasterAccountSid、値: properties.RawEventData.MailboxOwnerMasterAccountSid |
RawEventData.MailboxOwnerSid |
read_only_udm.additional.fields |
キー: MailboxOwnerSid、値: properties.RawEventData.MailboxOwnerSid |
RawEventData.MailboxOwnerUPN |
read_only_udm.additional.fields |
キー: MailboxOwnerUPN、値: properties.RawEventData.MailboxOwnerUPN |
RawEventData.MDATPDeviceId |
read_only_udm.additional.fields |
キー: MDATPDeviceId、値: properties.RawEventData.MDATPDeviceId |
RawEventData.ObjectId |
read_only_udm.additional.fields |
キー: ObjectId、値: properties.RawEventData.ObjectId |
RawEventData.Operation |
read_only_udm.additional.fields |
キー: Operation、値: properties.RawEventData.Operation |
RawEventData.OrganizationId |
read_only_udm.additional.fields |
キー: OrganizationId、値: properties.RawEventData.OrganizationId |
RawEventData.OrganizationName |
read_only_udm.additional.fields |
キー: OrganizationName、値: properties.RawEventData.OrganizationName |
RawEventData.OriginatingServer |
read_only_udm.additional.fields |
キー: OriginatingServer、値: properties.RawEventData.OriginatingServer |
RawEventData.ParentFolder.Id |
read_only_udm.additional.fields |
キー: RawEventDataParentFolderId、値: properties.RawEventData.ParentFolder.Id |
RawEventData.Pid |
target.process.pid |
文字列に変換された properties.RawEventData.Pid の値。 |
RawEventData.Query |
read_only_udm.additional.fields |
キー: Query、値: properties.RawEventData.Query |
RawEventData.RecordType |
network.dns.questions.type |
properties.RawEventData.RecordType の値を符号なし整数に変換した値。 |
RawEventData.ResultStatus |
read_only_udm.additional.fields |
キー: ResultStatus、値: properties.RawEventData.ResultStatus |
RawEventData.Scope |
read_only_udm.additional.fields |
キー: Scope、値: properties.RawEventData.Scope |
RawEventData.SessionId |
network.session_id |
properties.RawEventData.SessionId の値。 |
RawEventData.Sha1 |
target.process.file.sha1 |
properties.RawEventData.Sha1 の値。 |
RawEventData.Sha256 |
target.process.file.sha256 |
properties.RawEventData.Sha256 の値。 |
RawEventData.TargetDomain |
target.hostname、target.asset.hostname |
properties.RawEventData.TargetDomain の値。 |
RawEventData.TargetFilePath |
target.file.full_path |
properties.RawEventData.TargetFilePath の値。 |
RawEventData.UserId |
principal.user.email_addresses |
properties.RawEventData.UserId の値(メールアドレスの場合)。 |
RawEventData.UserKey |
read_only_udm.additional.fields |
キー: UserKey、値: properties.RawEventData.UserKey |
RawEventData.UserType |
read_only_udm.additional.fields |
キー: UserType、値: properties.RawEventData.UserType |
RawEventData.Version |
read_only_udm.additional.fields |
キー: Version、値: properties.RawEventData.Version |
RawEventData.Workload |
read_only_udm.additional.fields |
キー: Workload、値: properties.RawEventData.Workload |
RecipientEmailAddress |
network.email.to、target.user.email_addresses |
properties.RecipientEmailAddress の値。 |
RecipientObjectId |
target.user.product_object_id |
properties.RecipientObjectId の値。 |
RegistryKey |
target.registry.registry_key |
properties.RegistryKey の値。 |
RegistryValueData |
target.registry.registry_value_data |
properties.RegistryValueData の値。 |
RegistryValueName |
target.registry.registry_value_name |
properties.RegistryValueName の値。 |
Remediation User |
intermediary.user.userid |
EventID が 1117 の場合に使用されます。 |
RemoteDeviceName |
target.hostname、target.asset.hostname |
properties.RemoteDeviceName の値。 |
RemoteIP |
target.ip、target.asset.ip |
空でない場合は properties.RemoteIP、-、または null の値。 |
RemoteIPType |
about.labels、principal.resource.attribute.labels |
キー: RemoteIPType、値: properties.RemoteIPType |
RemotePort |
target.port |
整数に変換された properties.RemotePort の値。 |
RemoteUrl |
target.url |
properties.RemoteUrl の値。ホスト名が含まれている場合は、ホスト名が抽出され、target.hostname と target.asset.hostname にマッピングされます。 |
Removal Reason Value |
security_result.description |
EventID が 2011 の場合、security_result.description の一部。 |
ReportId |
metadata.product_log_id |
文字列に変換された properties.ReportId の値。 |
Scan ID |
security_result.description |
EventID が 1000、1001、1002 の場合、security_result.description の一部。 |
Scan Parameters |
security_result.description |
EventID が 1000、1001、1002 の場合、security_result.description の一部。 |
Scan Resources |
target.file.full_path |
EventID が 1000 の場合に使用されます。 |
Scan Time Hours |
security_result.description |
EventID が 1001 の場合の security_result.description の一部。 |
Scan Time Minutes |
security_result.description |
EventID が 1001 の場合の security_result.description の一部。 |
Scan Time Seconds |
security_result.description |
EventID が 1001 の場合の security_result.description の一部。 |
Scan Type |
security_result.description |
EventID が 1000、1001、1002 の場合、security_result.description の一部。 |
Security intelligence Type |
security_result.description |
EventID が 2001 の場合、security_result.description の一部。 |
Security intelligence Version |
security_result.description |
EventID が 1011 の場合、security_result.description の一部。 |
SenderDisplayName |
principal.user.user_display_name |
properties.SenderDisplayName の値。 |
SenderFromAddress |
network.email.from、principal.user.email_addresses |
properties.SenderFromAddress の値。 |
SenderFromDomain |
principal.administrative_domain |
properties.SenderFromDomain の値。 |
SenderIPv4 |
principal.ip、principal.asset.ip |
properties.SenderIPv4 の値。 |
SenderIPv6 |
principal.ip、principal.asset.ip |
properties.SenderIPv6 の値。 |
SenderMailFromAddress |
principal.user.attribute.labels |
キー: SenderMailFromAddress、値: properties.SenderMailFromAddress |
SenderMailFromDomain |
principal.user.attribute.labels |
キー: SenderMailFromDomain、値: properties.SenderMailFromDomain |
SenderObjectId |
principal.user.product_object_id |
properties.SenderObjectId の値。 |
Severity Name |
security_result.severity |
値が Low の場合、LOW に設定します。Moderate の場合は、MEDIUM に設定します。High または Severe の場合、HIGH に設定します。 |
Severity |
security_result.severity |
値に informational が含まれている場合は、INFORMATIONAL に設定します。low の場合は、LOW に設定します。medium の場合は、MEDIUM に設定します。high の場合は、HIGH に設定します。それ以外の場合は UNKNOWN_SEVERITY に設定します。 |
Severity |
security_result.severity_details |
properties.Severity の値。 |
SHA1 |
target.process.file.sha1 |
properties.SHA1 の値。 |
SHA256 |
target.process.file.sha256 |
properties.SHA256 の値。 |
SHA256 |
about.file.sha256 |
category に EmailAttachmentInfo が含まれている場合の properties.SHA256 の値。 |
Signature Type |
security_result.description |
EventID が 2000 または 2010 の場合、security_result.description の一部。 |
SourceModuleName |
target.resource.name |
EventID が 2008 の場合に使用されます。 |
Source Path |
security_result.description |
EventID が 2001 の場合、security_result.description の一部。 |
Subject |
network.email.subject |
properties.Subject の値。 |
Tenant |
read_only_udm.additional.fields |
キー: Tenant、値: Tenant |
tenantId |
observer.cloud.project.id、target.resource_ancestors.product_object_id |
tenantId または properties.tenantId の値。 |
Threat ID |
security_result.threat_name |
EventID が 1011 または 1116 の場合、security_result.threat_name の一部。 |
ThreatNames |
security_result.threat_name |
properties.ThreatNames の値。 |
Threat Types |
security_result.category |
値が Phish の場合、security_result_category を MAIL_PHISHING に設定します。それ以外の場合は UNKNOWN_CATEGORY に設定します。 |
Timestamp |
security_result.description |
EventID が 1013 の場合の security_result.description の一部。 |
Timestamp |
metadata.event_timestamp |
解析されて metadata.event_timestamp が生成されます。 |
Timestamp |
entity.asset.system_last_update_time |
category が AdvancedHunting-DeviceNetworkInfo のときの properties.Timestamp の値。 |
Title |
security_result.threat_name |
properties.Title の値。 |
Update Source |
security_result.description |
EventID が 2001 の場合、security_result.description の一部。 |
Update State |
security_result.description |
EventID が 2001 の場合、security_result.description の一部。 |
Update Type |
security_result.description |
EventID が 2000 または 2001 の場合、security_result.description の一部。 |
UserAgent |
network.http.user_agent |
properties.UserAgent の値。 |
UserAgentTags |
additional.fields |
properties.UserAgentTags 配列の各要素は、キー UserAgentTags のラベルとして追加されます。 |
Url |
target.url |
properties.Url の値。 |
UrlCount |
read_only_udm.additional.fields |
キー: UrlCount、値: properties.UrlCount |
UrlDomain |
target.hostname、target.asset.hostname |
properties.UrlDomain の値。 |
UrlLocation |
read_only_udm.additional.fields |
キー: UrlLocation、値: properties.UrlLocation |
User |
target.user.userid |
EventID が 1000、1001、1002、1011、1013、2000、2002 の場合、または Message に \tUser: が含まれている場合に使用されます。 |
UserID |
principal.user.userid |
EventID が 2010 または 2011 の場合に使用されます。 |
| (パーサー ロジック) | metadata.event_type |
最初は GENERIC_EVENT に設定されますが、他のフィールドとロジックに基づいて上書きされます。一般的な値は、NETWORK_CONNECTION、PROCESS_LAUNCH、FILE_CREATION、FILE_MODIFICATION、USER_LOGIN、SCAN_HOST、SCAN_PROCESS、SYSTEM_AUDIT_LOG_WIPE、SETTING_MODIFICATION、FILE_DELETION、PROCESS_MODULE_LOAD、PROCESS_UNCATEGORIZED、STATUS_UPDATE、PROCESS_OPEN、NETWORK_DNS、FILE_MOVE、REGISTRY_CREATION、REGISTRY_DELETION、REGISTRY_MODIFICATION、SCHEDULED_TASK_CREATION、SCHEDULED_TASK_DELETION、SCHEDULED_TASK_MODIFICATION、SCAN_NETWORK、USER_UNCATEGORIZED です。 |
| (パーサー ロジック) | metadata.vendor_name |
Microsoft に設定します。 |
| (パーサー ロジック) | metadata.product_name |
最初は Windows Defender ATP に設定されますが、category フィールドによって上書きされる可能性があります。 |
| (パーサー ロジック) | metadata.product_event_type |
最初は GENERIC_EVENT に設定されますが、他のフィールドとロジックに基づいて上書きされます。 |
| (パーサー ロジック) | metadata.product_version |
Product Version または properties.InitiatingProcessVersionInfoProductVersion に基づいて設定します。 |
| (パーサー ロジック) | metadata.log_type |
WINDOWS_DEFENDER_ATP に設定します。 |
| (パーサー ロジック) | principal.resource.type |
syslog、JSON、XML を解析するときに PROVIDER に設定します。 |
| (パーサー ロジック) | target.resource_ancestors |
product_object_id が tenantId に設定された単一の祖先が含まれます。 |
| (パーサー ロジック) | security_result.summary |
EventID、properties.ActionType、properties.Title、properties.Category に基づいて設定されます。 |
| (パーサー ロジック) | security_result.description |
EventID または properties.ActionType に応じてさまざまなフィールドから構築されます。 |
| (パーサー ロジック) | security_result.action |
最初は ALLOW に設定されますが、AdditionalFields.WasRemediated、ActionType、Action Name に基づいて上書きされる可能性があります。 |
| (パーサー ロジック) | security_result.severity |
Severity Name または properties.Severity に基づいて設定します。 |
| (パーサー ロジック) | security_result.category |
Threat Types に基づいて設定します。 |
| (パーサー ロジック) | network.direction |
RemoteIP、LocalIP、EmailDirection に基づいて設定します。 |
| (パーサー ロジック) | network.ip_protocol |
metadata.event_type が NETWORK_CONNECTION の場合、TCP に設定します。 |
| (パーサー ロジック) | network.session_id |
properties.RawEventData.SessionId に基づいて設定します。 |
| (パーサー ロジック) | network.http.user_agent |
properties.UserAgent に基づいて設定します。 |
| (パーサー ロジック) | network.email.mail_id |
properties.NetworkMessageId に基づいて設定します。 |
| (パーサー ロジック) | network.email.subject |
properties.Subject に基づいて設定します。 |
| (パーサー ロジック) | network.email.from |
properties.SenderFromAddress に基づいて設定します。 |
| (パーサー ロジック) | network.email.to |
properties.RecipientEmailAddress に基づいて設定します。 |
| (パーサー ロジック) | network.dns.questions.name |
AdditionalFields.DnsQueryString に基づいて設定します。 |
| (パーサー ロジック) | network.dns.questions.type |
properties.RawEventData.RecordType に基づいて設定します。 |
| (パーサー ロジック) | network.dns.answers |
AdditionalFields.DnsQueryResult から構築されます。 |
| (パーサー ロジック) | extensions.auth.type |
ActionType が LogonAttempted または LogonSuccess の場合は MACHINE に設定します。 |
| (パーサー ロジック) | extensions.auth.mechanism |
LogonType または AdditionalFields.IsLocalLogon に基づいて設定します。 |
| (パーサー ロジック) | extensions.auth.auth_details |
properties.AuthenticationDetails に基づいて設定します。 |
| (パーサー ロジック) | entity.asset.asset_id |
WINDOWS: + DeviceId または properties.DeviceId を使用して構築されます。 |
| (パーサー ロジック) | entity.asset.product_object_id |
DeviceId または properties.DeviceId に設定します。 |
| (パーサー ロジック) | entity.asset.network_domain |
ConnectedNetworks から抽出されます。 |
| (パーサー ロジック) | entity.asset.ip |
IPAddresses、_ipaddress、PublicIP、LocalIP に基づいて設定します。 |
| (パーサー ロジック) | entity.asset.mac |
MacAddress または properties.MacAddress に基づいて設定します。 |
| (パーサー ロジック) | entity.asset.hostname |
DeviceName または properties.DeviceName に基づいて設定します。 |
| (パーサー ロジック) | entity.asset.platform_software.platform |
OSPlatform に基づいて設定します。 |
| (パーサー ロジック) | entity.asset.platform_software.platform_version |
OSVersion に基づいて設定します。 |
| (パーサー ロジック) | entity.asset.category |
DeviceCategory に基づいて設定します。 |
| (パーサー ロジック) | entity.asset.type |
デバイスとネットワークの情報イベントの場合は WORKSTATION に設定します。 |
| (パーサー ロジック) | entity.asset.system_last_update_time |
ネットワーク情報イベントについては properties.Timestamp に基づいて設定されます。 |
| (パーサー ロジック) | entity.relations |
LoggedOnUsers から構築されます。 |
| (パーサー ロジック) | entity.metadata.entity_type |
デバイス、ネットワーク、アセットのイベントの場合は ASSET に設定します。 |
| (パーサー ロジック) | about.labels |
UDM スキーマに直接適合しないさまざまなフィールドのラベルが含まれます。 |
| (パーサー ロジック) | principal.user.attribute.labels |
ユーザー関連のさまざまなフィールドのラベルが含まれます。 |
| (パーサー ロジック) | principal.resource.attribute.labels |
さまざまなリソース関連フィールドのラベルが含まれます。 |
| (パーサー ロジック) | target.resource.resource_type |
スケジュールされたタスク イベントの場合は TASK、設定変更イベントの場合は SETTING に設定します。 |
| (パーサー ロジック) | target.resource.name |
SourceModuleName、AdditionalFields.TaskName、_taskname に基づいて設定します。 |
| (パーサー ロジック) | target.resource.product_object_id |
properties.ReportId に基づいて設定します。 |
| (パーサー ロジック) | target.resource_ancestors |
tenantId に基づいて設定します。 |
| (パーサー ロジック) | target.registry.registry_key |
RegistryKey、PreviousRegistryKey、properties.RegistryKey に基づいて設定します。 |
| (パーサー ロジック) | target.registry.registry_value_name |
RegistryValueName または properties.RegistryValueName に基づいて設定します。 |
| (パーサー ロジック) | target.registry.registry_value_data |
RegistryValueData または properties.RegistryValueData に基づいて設定します。 |
| (パーサー ロジック) | intermediary.user.userid |
Remediation User に基づいて設定します。 |
| (パーサー ロジック) | metadata.collected_timestamp |
アセットとネットワーク情報イベントのイベント タイムスタンプに設定します。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。